14
Zertifikatproblem Outlook 2010 mit Exchange 2007
Hallo an alle,
habe das Problem, dass wir bei der Anbindung eines Outlook 2010-Clients an einen Exchange 2007 nach Anmeldung zwei Zertifikatfehler gemeldet bekommen ("Der auf dem Sicherheitszertifikat angegebene Name ist ungültig oder stimmt nicht mit dem Namen der Site überein").
Die Lösung hierfür findet sich ja scheinbar auch hier;
http://support.microsoft.com/kb/940726/de
Nach Ausführung der ersten beiden Punkte der Lösung kommt die Zertifikatmeldung auch nur noch einmal. Jetzt eine wahrscheinlich saudumme Frage, stehe aber auf dem Schlauch.
Unter Punkt 3 der Lösung heisst es:
Ändern Sie das Attribut InternalUrl des EWS. Geben Sie hierzu den folgenden Befehl ein, und drücken Sie die EINGABETASTE:
Set-WebServicesVirtualDirectory -Identity "CAS-Servername\EWS (Standardwebsite)" -InternalUrl https://mail.contoso.com/ews/exchange.asmx
HInter der Option -Identity, was genau ist dort einzugeben? CAS-Servername ist soweit klar, aber was ist unter Standardwebsite zu verstehen? Habe schon auf dem Exchange IIS gesucht, aber dort nichts gefunden?
habe das Problem, dass wir bei der Anbindung eines Outlook 2010-Clients an einen Exchange 2007 nach Anmeldung zwei Zertifikatfehler gemeldet bekommen ("Der auf dem Sicherheitszertifikat angegebene Name ist ungültig oder stimmt nicht mit dem Namen der Site überein").
Die Lösung hierfür findet sich ja scheinbar auch hier;
http://support.microsoft.com/kb/940726/de
Nach Ausführung der ersten beiden Punkte der Lösung kommt die Zertifikatmeldung auch nur noch einmal. Jetzt eine wahrscheinlich saudumme Frage, stehe aber auf dem Schlauch.
Unter Punkt 3 der Lösung heisst es:
Ändern Sie das Attribut InternalUrl des EWS. Geben Sie hierzu den folgenden Befehl ein, und drücken Sie die EINGABETASTE:
Set-WebServicesVirtualDirectory -Identity "CAS-Servername\EWS (Standardwebsite)" -InternalUrl https://mail.contoso.com/ews/exchange.asmx
HInter der Option -Identity, was genau ist dort einzugeben? CAS-Servername ist soweit klar, aber was ist unter Standardwebsite zu verstehen? Habe schon auf dem Exchange IIS gesucht, aber dort nichts gefunden?
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 150334
Url: https://administrator.de/contentid/150334
Printed on: April 19, 2024 at 19:04 o'clock
14 Comments
Latest comment
Hallo,
nicht so kompliziert.
Du greifst auf die Seite mit "https://mail.firma.de/exchange/Benutzer" zu.
Das Zertifikat ist aber auf exchange.firma.de oder mail.firma.com ausgestellt. Dabei geht es meist nur darum was der User im Browser eingetippt hat.
Stefan
nicht so kompliziert.
Du greifst auf die Seite mit "https://mail.firma.de/exchange/Benutzer" zu.
Das Zertifikat ist aber auf exchange.firma.de oder mail.firma.com ausgestellt. Dabei geht es meist nur darum was der User im Browser eingetippt hat.
Stefan
Hi,
gib im Explorer unter Vertrauenswürdige Seiten jeweils den Name des Servers und seine IP, je als HTTP und HTTPS ein und es müsste klappen.
Vorsicht: Bei der Namensauflösung ".meinedomain.local" anhängen.
MfG
HeinrichXII
gib im Explorer unter Vertrauenswürdige Seiten jeweils den Name des Servers und seine IP, je als HTTP und HTTPS ein und es müsste klappen.
Vorsicht: Bei der Namensauflösung ".meinedomain.local" anhängen.
MfG
HeinrichXII
Hallo Ihr Beiden,
danke für die Antworten.
@Stefan: Ja, so habe ich das auch verstanden. Mein Problem ist die genaue Syntax im Befehl. Was gebe ich bei -Identity "CAS-Servername\EWS (Standardwebsite)" hinter dem CAS-Servernamen ein? Der Befehl wird mit Standardwebsite nicht akzeptiert, es gibt eine Fehlermeldung: Das Objekt wird im Domänencontroller nicht gefunden. Was muss ich hier eingeben? Oder anders gefragt: Wo kann ich ersehen, wie die Standardwebsite heisst?
@Heinrich: Das ist nicht das Problem, OWA funktioniert ja einwandfrei und ohne Gemecker. Es dreht sich allein um die lokale Outlook-Kommunikation und Exchange-Server, nicht um die Kommunikation Browser - Exchange.
danke für die Antworten.
@Stefan: Ja, so habe ich das auch verstanden. Mein Problem ist die genaue Syntax im Befehl. Was gebe ich bei -Identity "CAS-Servername\EWS (Standardwebsite)" hinter dem CAS-Servernamen ein? Der Befehl wird mit Standardwebsite nicht akzeptiert, es gibt eine Fehlermeldung: Das Objekt wird im Domänencontroller nicht gefunden. Was muss ich hier eingeben? Oder anders gefragt: Wo kann ich ersehen, wie die Standardwebsite heisst?
@Heinrich: Das ist nicht das Problem, OWA funktioniert ja einwandfrei und ohne Gemecker. Es dreht sich allein um die lokale Outlook-Kommunikation und Exchange-Server, nicht um die Kommunikation Browser - Exchange.
Steht auf der Fehlermeldung "sites"? 
Probier's einfach mal aus. Die 4 Einträge in den Browser dürften dich aufwandtechnisch nicht umbringen.
Probier's einfach mal aus. Die 4 Einträge in den Browser dürften dich aufwandtechnisch nicht umbringen.
Nochmal: Alle Einträge in den Browser sind vergebene Liebesmüh, da das Problem in der LOKALEN Kommunikation zwischen Outlook und Exchange besteht. Der Browser ist hier absolut außen vor und hat mit der eigentlichen Problematik NICHTS zu tun. Das geht auch klar aus dem Thread hervor. Zumindest, wenn man sich die Mühe macht und den verlinkten Eintrag aus der Microsoft-Knowledgebase liest...
Bin jetzt auf die Lösung meines Problems gestoßen. Die Teil-Einträge müssen wie folgt lauten:
-Identity CAS-Servername\EWS *
Ebenso verfährt man bei OAB und unifiedmessaging (Punkte 4 und 5 der Lösung). Die dort stehenden Anführungszeichen müssen ebenfalls weggelassen werden. ACHTUNG: Stimmt der Aufruf des Webservers inhaltlich für den externen und internen Zugriff nicht überein, genauer hinschauen! Mag sein, dass das keine Rolle spielt, habe ich mir nicht genauer angesehen. In meinem Fall ist das egal, da der Aufruf von extern und intern identisch ist.
Nochmals Danke für die Antworten!
Bin jetzt auf die Lösung meines Problems gestoßen. Die Teil-Einträge müssen wie folgt lauten:
-Identity CAS-Servername\EWS *
Ebenso verfährt man bei OAB und unifiedmessaging (Punkte 4 und 5 der Lösung). Die dort stehenden Anführungszeichen müssen ebenfalls weggelassen werden. ACHTUNG: Stimmt der Aufruf des Webservers inhaltlich für den externen und internen Zugriff nicht überein, genauer hinschauen! Mag sein, dass das keine Rolle spielt, habe ich mir nicht genauer angesehen. In meinem Fall ist das egal, da der Aufruf von extern und intern identisch ist.
Nochmals Danke für die Antworten!
Coreknabe
Vielend Dank für diesen letzten Hinweis.
Er hat mir viel Zeit gespart.
Achtung: keine Leerstelle nach EWS
Vielend Dank für diesen letzten Hinweis.
Er hat mir viel Zeit gespart.
Achtung: keine Leerstelle nach EWS
Moin Wackerstein,
da freue ich mich doch, dass ich auch mal was wusste
Danke für Deine Anmerkung.
da freue ich mich doch, dass ich auch mal was wusste
Danke für Deine Anmerkung.
Hallo Coreknabe,
auch ich habe das Problem mit den Sicherheitszertifikaten und dem Outlook Client.
Erst mal vielen Dank für Deinen Thread und dem Hinweis mit dem * für die Standardwebsite - da muss man erst mal drauf kommen.
Ich verwende für intern / extern zwei unterschiedliche Namen - leider hat der Tip der KB (http://support.microsoft.com/kb/940726/de) nicht geklappt. Ich bekomme immer noch die Zertifikatsfehlermeldung beim Starten des Outlook Clients.
Hast Du (oder ein anderer Leser dieses Freds) vielleicht noch einen Tip für mich wo ich für eine Lösung ansetzen kann?
Vielen Dank
Saber-Rider
auch ich habe das Problem mit den Sicherheitszertifikaten und dem Outlook Client.
Erst mal vielen Dank für Deinen Thread und dem Hinweis mit dem * für die Standardwebsite - da muss man erst mal drauf kommen.
Ich verwende für intern / extern zwei unterschiedliche Namen - leider hat der Tip der KB (http://support.microsoft.com/kb/940726/de) nicht geklappt. Ich bekomme immer noch die Zertifikatsfehlermeldung beim Starten des Outlook Clients.
Hast Du (oder ein anderer Leser dieses Freds) vielleicht noch einen Tip für mich wo ich für eine Lösung ansetzen kann?
Vielen Dank
Saber-Rider
Moin Saber-Rider,
wie bereits erwähnt, habe ich nicht die Problematik, dass ich intern und extern unterschiedliche Namen verwende. Zu diesem Thema sagt Microsoft in meinem eingangs erwähnten Link:
Wenn sich der interne Namespace vom externen Namespace unterscheidet und wenn Sie kein Zertifikat verwenden können, das alternative Antragstellernamen unterstützt, verwenden Sie die Task Set-ClientAccessServer in der Exchange-Verwaltungsshell, um die URL zu ändern. In diesem Szenario müssen Sie die URL so ändern, dass sie auf den neuen Speicherort für AutoErmittlung zeigt. Verwenden Sie z. B. den folgenden Befehl, um auf den neuen Speicherort für AutoErmittlung zu zeigen:
Set-ClientAccessServer –AutodiscoverServiceInternalUri https://mail.contoso.com/autodiscover/autodiscover.xml
Du brauchst also ein entsprechendes Zertifikat oder muss mit Set-ClientAccessServer rumwurschteln.
wie bereits erwähnt, habe ich nicht die Problematik, dass ich intern und extern unterschiedliche Namen verwende. Zu diesem Thema sagt Microsoft in meinem eingangs erwähnten Link:
Wenn sich der interne Namespace vom externen Namespace unterscheidet und wenn Sie kein Zertifikat verwenden können, das alternative Antragstellernamen unterstützt, verwenden Sie die Task Set-ClientAccessServer in der Exchange-Verwaltungsshell, um die URL zu ändern. In diesem Szenario müssen Sie die URL so ändern, dass sie auf den neuen Speicherort für AutoErmittlung zeigt. Verwenden Sie z. B. den folgenden Befehl, um auf den neuen Speicherort für AutoErmittlung zu zeigen:
Set-ClientAccessServer –AutodiscoverServiceInternalUri https://mail.contoso.com/autodiscover/autodiscover.xml
Du brauchst also ein entsprechendes Zertifikat oder muss mit Set-ClientAccessServer rumwurschteln.
Moin 
den neuen Speicherort für die AutoErmittlung hatte ich schon ausprobiert - leider ohne Erfolg.
Dann werde ich - wenn wir das TLS Zertifikat erneuern - versuchen eines zu besorgen in dem auch der alternative Namenseintrag vorhanden ist. Das ist im Moment nicht so - ich habe vor einem Jahr keine Firma gefunden, die mir so ein Zertifikat ausstellen will.
Wo besorgst Du Dir Deine Zertifikate?
den neuen Speicherort für die AutoErmittlung hatte ich schon ausprobiert - leider ohne Erfolg.
Dann werde ich - wenn wir das TLS Zertifikat erneuern - versuchen eines zu besorgen in dem auch der alternative Namenseintrag vorhanden ist. Das ist im Moment nicht so - ich habe vor einem Jahr keine Firma gefunden, die mir so ein Zertifikat ausstellen will.
Wo besorgst Du Dir Deine Zertifikate?
Meine Zertifikate baue ich mir mit SelfSSL. Mit Windows-Bordmitteln geht das auch, die gelten dann aber nur für ein Jahr (Default, per Registry-Frickelei lässt sich die Ablaufdauer verlängern). Bin aber faul und SelfSSL macht's leichter. Weiterer Vorteil ist, dass ich die Standardeinstellungen von Windows nicht verdrehe und ich später Seiteneffekte habe, aber nicht mehr dran denke, dass ich mal was verdreht habe. Oder nicht auf dem Zettel habe, dass diese Einstellung auch anderes beeinflusst. Ja, ich weiß, dass Profi-Dokumentierern sowas nicht passiert...
Ansonsten zur Erstellung von Zertifikaten mit alternativem Namenseintrag:
http://technet.microsoft.com/de-de/library/bb680733.aspx
http://www.msxfaq.de/signcrypt/setupca2008.htm
http://support.microsoft.com/kb/931351/de
Viel Spaß beim Lesen!
Ansonsten zur Erstellung von Zertifikaten mit alternativem Namenseintrag:
http://technet.microsoft.com/de-de/library/bb680733.aspx
http://www.msxfaq.de/signcrypt/setupca2008.htm
http://support.microsoft.com/kb/931351/de
Viel Spaß beim Lesen!
Mit diesen - von der Root CA erstellten - Zertifikaten bekommt der Benutzer doch immer den Misstrauenshinweis im Browser zu sehen (es sein den er installiert das Zerifikat). Das ist bei mir leider nicht möglich - bzw. der Arbeitgeber möchte das nicht.
Oder habe ich da - in Deinen Links - auf die Schnelle was überlesen?
Oder habe ich da - in Deinen Links - auf die Schnelle was überlesen?
Mit diesen - von der Root CA erstellten - Zertifikaten bekommt der Benutzer doch immer den Misstrauenshinweis im Browser zu sehen
(es sein den er installiert das Zerifikat). Das ist bei mir leider nicht möglich - bzw. der Arbeitgeber möchte das
nicht.
Oder habe ich da - in Deinen Links - auf die Schnelle was überlesen?
Nö, haste nicht. Hast aber auch nichts davon erwähnt, dass das so nicht sein soll.(es sein den er installiert das Zerifikat). Das ist bei mir leider nicht möglich - bzw. der Arbeitgeber möchte das
nicht.
Oder habe ich da - in Deinen Links - auf die Schnelle was überlesen?
Ansonsten heißt das Zauberwort in einer Domäne "Auto-Enrollment".
Zitat von @Coreknabe:
> Mit diesen - von der Root CA erstellten - Zertifikaten bekommt der Benutzer doch immer den Misstrauenshinweis im Browser zu
sehen
> (es sein den er installiert das Zerifikat). Das ist bei mir leider nicht möglich - bzw. der Arbeitgeber möchte das
> nicht.
>
> Oder habe ich da - in Deinen Links - auf die Schnelle was überlesen?
>
Nö, haste nicht. Hast aber auch nichts davon erwähnt, dass das so nicht sein soll.
Ansonsten heißt das Zauberwort in einer Domäne "Auto-Enrollment".
> Mit diesen - von der Root CA erstellten - Zertifikaten bekommt der Benutzer doch immer den Misstrauenshinweis im Browser zu
sehen
> (es sein den er installiert das Zerifikat). Das ist bei mir leider nicht möglich - bzw. der Arbeitgeber möchte das
> nicht.
>
> Oder habe ich da - in Deinen Links - auf die Schnelle was überlesen?
>
Nö, haste nicht. Hast aber auch nichts davon erwähnt, dass das so nicht sein soll.
Ansonsten heißt das Zauberwort in einer Domäne "Auto-Enrollment".
Stimmt - sorry hätte ich erwähnen sollen.
Ich werde dann bei der nächsten Zertifikatsanforderung auf den alternative Namenseintrag achten und hoffen, dass Outlook dann auch denn Richtigen nimmt.
Vielen Dank für Deine Infos.
Schönes WE
